Il Telepass on line non garantisce la privacy. Il consenso all’uso dei dati a fini di marketing deve essere libero
Nuova pagina 7
Maggiori garanzie e il
diritto di non ricevere e-mail pubblicitarie non richieste per le migliaia di
abbonati a Telepass che usufruiscono di servizi on line. La Società Autostrade
per l’Italia (Aspi), che fornisce il servizio Telepass, dovrà rivedere
contratti e modulistica compilati dagli utenti al momento della registrazione e
potrà utilizzare i dati personali raccolti finora, solo per la fornitura dei
servizi. Si sono cosi’ conclusi gli accertamenti avviati dal Garante, anche a
seguito di segnalazioni di utenti, su alcuni servizi on line offerti da
Autostrade per l’Italia.
Tramite il sito
www.telepass.it, gli abbonati possono, previa registrazione e attribuzione di
una password, aggiornare i propri dati personali, consultare lo stato dei
rapporti contrattuali, variare l’associazione tra Telepass e veicolo o aderire
al servizio di recapito elettronico delle fatture Telepass.
Al temine delle verifiche
il Garante, accertati alcuni profili di violazione della disciplina sulla
protezione dei dati, ha prescritto alla società misure per conformarsi alla
normativa. Non è risultata innanzitutto in linea con il Codice della protezione
dei dati la scelta di Autostrade di raccogliere il consenso del cliente per
finalità di marketing facendone menzione nelle condizioni generali di
contratto. Con un’unica firma, infatti, chi sottoscriveva un contratto
"autorizzava" anche l’invio di materiale pubblicitario sia da parte della stessa
società, sia da parte di terzi. Un consenso manifestato in questo modo non è
stato ritenuto valido dal Garante. I clienti devono essere messi, invece, in
condizione di esprimere consapevolmente e liberamente le proprie scelte e poter
autorizzare ogni singolo uso dei loro dati.
Rilievi del Garante anche
per quanto riguarda l’uso delle e-mail degli abbonati per invio di materiale
pubblicitario. Per quanto la legge consenta ad una società di utilizzare gli
indirizzi e-mail senza consenso in caso di comunicazioni commerciali su servizi
analoghi a quelli già forniti, è necessario pero’ dare la possibilità ai
clienti di opporsi a questi invii, al momento della raccolta dei dati o in
occasione di successive comunicazioni. Questa possibilità non era, invece,
prevista nella modulistica di Autostrade per l’Italia.
Entro dicembre la nuova
modulistica dovrà essere sottoposta al Garante.
"Per dare il consenso
occorre un "firma" specifica ed espressa di chi è messo nella condizione di
piena consapevolezza – ha sottolineato Giuseppe Fortunato, componente del
Garante e relatore del provvedimento. Il cliente deve sempre esprimere un
consenso libero e informato. Non è consentito usare formule generiche e poco
trasparenti sottoponendo ai cittadini moduli con richieste di consenso
"omnibus" all’uso dei loro dati, valide cioè per una pluralità di scopi".
”Telepass” e libero
consenso – 3 novembre 2005
IL GARANTE PER LA
PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, in
presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe
Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe
Fortunato, componenti, e del dott. Giovanni Buttarelli, segretario generale;
VISTA la normativa
comunitaria e il Codice in materia di protezione dei dati personali (direttive
nn. 95/46/CE e 2002/58/CE; d.lg. 30 giugno 2003, n. 196);
VISTA la documentazione in
atti;
VISTO l’art. 154, comma 1,
lett. b) e c), del Codice in materia di protezione dei dati
personali (d.lg. 30 giugno 2003, n. 196);
VISTE le osservazioni
dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del
regolamento del Garante n. 1/2000;
RELATORE il dott. Giuseppe
Fortunato;
PREMESSO
1. A seguito di una
richiesta di informazioni formulata dall’Autorità, "Autostrade per l’Italia
S.p.A" (di seguito Aspi) ha fatto pervenire con nota del 19 gennaio 2005 proprie
deduzioni e documentazione in ordine ai trattamenti di dati personali (oggetto
anche di alcune segnalazioni) effettuati nell’ambito della fornitura del
servizio "Telepass" (grazie al quale il pagamento del pedaggio
autostradale puo’ avvenire, senza fermata al casello, addebitando le somme
dovute su conto corrente o BancoPosta o a mezzo di carta di credito abilitata).
Oggetto del presente
provvedimento sono solo i trattamenti di dati personali effettuati con riguardo
a taluni servizi resi tramite il sito web http://www.telepass.it,
accessori al servizio "Telepass". Grazie ad essi l’interessato è messo
in condizioni di:
a) visionare e aggiornare
online, senza la necessità di recarsi presso gli uffici commerciali di
Aspi situati lungo la rete autostradale (c.d. "punti blu"), i dati
personali che lo riguardano raccolti in occasione della previa conclusione di un
contratto di servizio "Telepass" ("Telepass Club");
b) concludere on line
–con contestuale iscrizione al "Telepass Club"– un contratto volto
all’esecuzione del servizio "Telepass" senza la necessità di recarsi
presso uffici commerciali di Aspi o di altri soggetti autorizzati ("Telepass
Family");
c) aderire online
al servizio di recapito elettronico delle fatture del servizio "Telepass".
Dalle dichiarazioni rese
emerge che Aspi tratta una serie di dati personali della clientela necessari
all’esecuzione del servizio "Telepass" –quali, tra gli altri, i dati
anagrafici, i dati indispensabili all’effettuazione dei pagamenti e la targa dei
veicoli abilitati–, come pure le coordinate di posta elettronica richieste per
consentire all’interessato la fruizione on line dei servizi descritti
(oltre che per inviargli prima una password individuale per accedere ai
medesimi).
Oltre ai dati appena
menzionati, stando alla documentazione pervenuta, sono richieste nella sezione
del sito dedicata alla registrazione al "Telepass Club" altre
informazioni riferibili a ciascun cliente (sesso, età, titolo di studio e
tipologia di veicolo utilizzato). Aspi ha dichiarato al riguardo di raccogliere
ulteriori dati personali, il cui conferimento sarebbe facoltativo, consistenti
in "indicazioni di carattere generale sulle proprie caratteristiche
[riferito agli interessati], sugli interessi e sulla sua condizione
socio-economica". Rispetto ad essi, Aspi ha precisato di averne fatto uso "esclusivamente
per valutazioni di carattere statistico sulla composizione del tipo di clientela
che ha deciso di registrarsi al sito".
2. Con riguardo alle
descritte tipologie di dati personali, trattati allo scopo di gestire i servizi
offerti online, Aspi provvede a raccogliere, in un unico contesto, anche
l’"autorizzazione" all’impiego dei medesimi per la diversa ed ulteriore
finalità di marketing: di detta finalità viene infatti fatta menzione
nelle condizioni generali di contratto concernenti la fornitura dei servizi resi
on line.
Cio’ risulta, infatti,
dalle "Condizioni generali dei servizi offerti da Autostrade per l’Italia
s.p.a. tramite il sito www.telepass.it", relative a "Telepass Club"
(all. A, Sez. 2, comunicazione Aspi). Da esse emerge che il consenso
dell’interessato viene prestato –oltre che per l’esecuzione dei servizi offerti,
come si è detto– anche con riguardo all’invio da parte di Aspi di comunicazioni
commerciali in forma elettronica, sia per promuovere iniziative proprie, sia per
veicolare iniziative promozionali nell’interesse di terzi. Tale circostanza,
oltre che dal punto 3.1., si ricava univocamente dai punti 5.1. (secondo il
quale, "con la sottoscrizione ed accettazione del presente accordo, l’utente
manifesta il proprio libero e incondizionato consenso a ricevere periodicamente
messaggi di posta elettronica contenenti pubblicità, materiale promozionale,
annunci interni, iniziative promozionali, comunicazioni commerciali da parte di
Aspi") e 5.2. (dal quale si desume che le comunicazioni pubblicitarie
riguarderanno anche prodotti e servizi di "soggetti terzi") delle
menzionate condizioni generali.
Clausole generali aventi
analogo contenuto sono poi riprodotte nelle "Condizioni generali per
l’adesione al servizio Telepass Family offerti da Autostrade per l’Italia s.p.a.
tramite il sito www.telepass.it", ai punti 3.1., 5.1. e 5.2 (all. A, Sez. 4
comunicazione Aspi) e nelle "Condizioni generali per l’adesione al servizio
sperimentale di recapito elettronico delle fatture Telepass Family, Viacard e
Telepass con Viacard tramite il sito www.telepass.it", ai punti 3.1., 4.1. e
4.2. (all. A, Sez. 6 comunicazione Aspi).
Inoltre, nell’apposita e
separata informativa resa in calce alle "Condizioni generali per l’adesione
al servizio Telepass Family offerti da Autostrade per l’Italia s.p.a. tramite il
sito www.telepass.it" (all. A, Sez. 4 comunicazione Aspi), si rende conto
del possibile utilizzo dei dati raccolti, con specifico riferimento
all’indirizzo e-mail, ai fini di invio di comunicazioni pubblicitarie
nella sola forma elettronica e limitatamente alle iniziative promozionali
proprie di Aspi: cio’ si desume dal riferimento all’art. 130 del Codice,
presente nel testo dell’informativa (pur contenente un errore materiale, atteso
il richiamo all’art. 140, che pare essere frutto di un mero refuso, come pure
emerge dalla memoria di Aspi).
Dalla nota Aspi (e
relativi allegati), inoltre, risultano la descrizione delle misure di sicurezza
adottate, come pure la designazione del responsabile e degli incaricati del
trattamento.
3. Alla luce della
documentazione acquisita, e tenuto conto delle osservazioni formulate da Aspi,
questa Autorità ravvisa taluni profili di violazione della disciplina vigente
in relazione al trattamento dei dati personali effettuato nell’ambito dei
servizi "Telepass" resi online e pertanto, ai sensi dell’art. 154,
comma 1, lett. c), del Codice, prescrive con il presente provvedimento le
misure necessarie al fine di rendere i trattamenti sopra indicati conformi alle
disposizioni contenute nel medesimo Codice.
Al di là della
possibilità di prescindere dalla richiesta del consenso con riguardo ai
trattamenti effettuati per eseguire obbligazioni derivanti dal contratto del
quale è parte l’interessato (consenso invece presente nella modulistica della
quale Aspi si avvale), atteso il contenuto dell’art. 24, comma 1, lett. b)
del Codice, emergono profili di illiceità, per ragioni diverse, in ordine al
rispetto delle condizioni previste dagli artt. 23 (in forza del quale "il
consenso è validamente prestato solo se è espresso liberamente") e 130
(considerato lo strumento –posta elettronica- volto a veicolare le comunicazioni
commerciali) del Codice.
3.1. Con specifico
riguardo al modello di raccolta del consenso utilizzato nelle condizioni
generali di contratto predisposte da Aspi, l’autorizzazione al trattamento per
finalità di marketing sia nell’interesse proprio di Aspi, sia per quello
di terzi, non è distinta da quella resa per conferire i dati indispensabili per
dare esecuzione al rapporto contrattuale.
Ne deriva che il consenso
al trattamento dei dati per finalità di marketing non soddisfa i
requisiti posti dalla legge, in base ai quali esso "è validamente prestato
solo se è espresso liberamente" (art. 23, comma 3, del Codice).
In casi come quello in
esame, come già rilevato da questa Autorità (<a href="http://www.garantepriva
